Threat Spotlight: Wie Angreifer Posteingangsregeln nutzen, um nach einer Kompromittierung nicht entdeckt zu werden

Automatisierte E-Mail-Posteingangsregeln sind eine nützliche und vertraute Funktion der meisten E-Mail-Clients. Sie helfen Ihnen bei der Verwaltung Ihres Posteingangs und der täglichen Flut an erwünschten und unerwünschten Mitteilungen. Sie können E-Mails in bestimmte Ordner verschieben, sie bei Abwesenheit an Kollegen weiterleiten, oder sie einfach nur löschen.

Wenn Angreifer Ihr Konto kompromittiert haben, können sie Posteingangsregeln verwenden, um verdeckt zu bleiben, während sie – unter anderem – Informationen über Ihren Posteingang still aus dem Netzwerk stehlen; verhindern, dass Sie Sicherheitswarnungen sehen; ausgewählte Nachrichten in verborgenen Ordnern verstecken oder Nachrichten des leitenden Angestellten löschen, dessen Identität sie übernommen haben, um Geld zu erpressen.

Kurz gesagt, das ist eine absolut brillante Angriffstaktik, die Tarnung bietet und auf einem kompromittierten Konto leicht zu implementieren ist.

Die E-Mail-Erkennung hat sich im Laufe der Jahre weiterentwickelt, und der Einsatz von maschinellem Lernen hat es einfacher gemacht, verdächtige Erstellungen von Regeln zu erkennen – aber wie die Erkennungszahlen von Barracuda zeigen, setzen Angreifer diese Technik weiterhin mit Erfolg ein. Da die Technik ein kompromittiertes Konto erfordert, sind die Gesamtzahlen möglicherweise relativ gering. Dennoch stellt es immer noch eine ernsthafte Bedrohung für die Integrität der Daten und Vermögenswerte einer Organisation dar – nicht zuletzt, weil die Erstellung von Regeln eine Post-Compromise-Technik ist. Das bedeutet, dass sich Angreifer bereits in Ihrem Netzwerk befinden. Um sie zu beseitigen, ist sofortiges Handeln erforderlich.

Wir glauben, dass es wichtig ist, das Risiko zu verstehen und darauf zu reagieren. In diesem Blogbeitrag erfahren Sie, wie Angreifer automatisierte E-Mail-Regeln für bösartige Aktivitäten nutzen, welche Abwehrmaßnahmen nicht funktionieren und welche es doch tun.

E-Mail ist ein primärer Angriffsvektor

E-Mail-Angriffe weisen eine hohe Erfolgsquote auf und bieten einen gemeinsamen Einstiegspunkt für viele andere Cyberangriffe. Eine Studie von Barracuda hat ergeben, dass 75 % der weltweit befragten Unternehmen im Jahr 2022 mindestens einen Verstoß gegen die E-Mail-Sicherheit verweisen mussten.

Diese Angriffe reichen von einfachen Phishing-Angriffen und bösartigen Links oder Anhängen bis hin zu ausgefeilten Social-Engineering-Taktiken wie Business Email Compromise (BEC), Conversation Hijacking und Account Takeover. Einige der fortschrittlichsten Arten sind mit bösartig E-Mail-Regeln verbunden.

So erstellen Angreifer automatisierte E-Mail-Regeln – und für welchen Zweck 

Um bösartige E-Mail-Regeln zu erstellen, müssen die Angreifer ein Zielkonto kompromittiert haben, z. B. durch eine erfolgreiche Phishing-E-Mail oder durch die Verwendung gestohlener Anmeldedaten, die bei einer vorherigen Sicherheitsverletzung erbeutet wurden. Sobald der Angreifer die Kontrolle über das E-Mail-Konto des Opfers erlangt hat – eine Angriffsart, die als Account Takeover bekannt ist – kann er eine oder mehrere automatisierte E-Mail-Regeln einrichten. Dies ist ein einfacher Prozess, der es den Angreifern ermöglicht, einen heimlichen, dauerhaften Zugriff auf das Postfach zu erhalten, den sie für eine ganze Reihe von bösartigen Zwecken nutzen können.

Verwendung von E-Mail-Regeln, um Informationen oder Geld zu stehlen und die Erkennung zu verzögern

Die Angreifer könnten eine Regel einrichten, die alle E-Mails, die vertrauliche und potenziell lukrative Schlüsselwörter wie „Zahlung“, „Rechnung“ oder „vertraulich“ enthalten, an eine externe Adresse weiterleitet.  

Angreifer können auch E-Mail-Regeln verwenden, um bestimmte eingehende E-Mails zu verbergen, indem sie diese Nachrichten in selten genutzte Ordner verschieben, als gelesen markieren oder einfach löschen. Sie könnten dies zum Beispiel tun, um Sicherheitswarnungen, Befehls- und Kontroll-Kommunikation, Antworten auf interne Spearphishing-E-Mails, die von dem kompromittierten Konto aus gesendet werden, zu verbergen oder um ihre Spuren vor dem Kontoinhaber zu verwischen, der das Konto wahrscheinlich zur gleichen Zeit benutzt, ohne von den Eindringlingen zu wissen.

Darüber hinaus können Angreifer E-Mail-Weiterleitungsregeln erstellen, um die Aktivitäten eines Opfers zu überwachen und Informationen über das Opfer oder dessen Organisation zu sammeln, die sie für weitere Angriffe oder Operationen nutzen können.

Verwendung von E-Mail-Regeln für BEC-Angriffe (Business Email Compromise).

Bei BEC-Angriffen geht es darum, andere davon zu überzeugen, dass eine E-Mail von einem legitimen Benutzer stammt, um das Unternehmen und seine Mitarbeiter, Kunden oder Partner zu betrügen. 

Angreifer könnten eine Regel festlegen, die alle eingehenden E-Mails von einem bestimmten Kollegen wie dem Chief Finance Officer (CFO) löscht. Dies ermöglicht es den Angreifern, sich als CFO auszugeben und Kollegen gefälschte E-Mails zu senden, um sie davon zu überzeugen, Unternehmensgelder auf ein von den Angreifern kontrolliertes Bankkonto zu überweisen.

Im November 2020 veröffentlichte das FBI eine Meldung darüber, wie Cyberkriminelle die mangelnde Synchronisierung und Sicherheitstransparenz zwischen webbasierten und Desktop-E-Mail-Clients ausnutzten, um E-Mail-Weiterleitungsregeln festzulegen, um die Wahrscheinlichkeit eines erfolgreichen BEC-Angriffs zu erhöhen.

Einsatz von E-Mail-Regeln bei gezielten Angriffen von Nationalstaaten

Bösartige E-Mail-Regeln werden auch bei gezielten Angriffen verwendet. Das MITRE ATT&CK^® Framework für Taktiken und Techniken von Angreifern stuft bösartige E-Mail-Weiterleitungen als T1114.003 ein und führt drei APTs (Advanced Persistent Threat Groups) auf, die diese Technik einsetzen. Dabei handelt es sich um Kimsuky, einen nationalen Bedrohungsakteur, der Cyberspionage betreibt, LAPSUS$, der für seine Erpressungs- und Störungsangriffe bekannt ist, und Silent Librarian, eine weitere nationalstaatliche Gruppe, die mit dem Diebstahl von geistigem Eigentum und Forschung in Verbindung gebracht wird.

MITRE klassifiziert Regeln zum Ausblenden von E-Mails (T1564.008) als Technik zur Umgehung der Verteidigung.  Eine APT, von der bekannt ist, dass sie diese Technik einsetzt, ist FIN4, ein finanziell motivierter Bedrohungsakteur, der Regeln in den Konten der Opfer erstellt, um automatisch E-Mails zu löschen, die Wörter wie „hacked“, „phish“ und „malware“ enthalten, wahrscheinlich um zu verhindern, dass das IT-Team des Opfers Mitarbeiter und andere auf ihre Aktivitäten aufmerksam macht.

Abwehrmaßnahmen, die (alleine) nicht funktionieren

Wenn die bösartige Regel nicht entdeckt wird, bleibt sie in Kraft, selbst wenn das Passwort des Opfers geändert wird, eine Multifaktor-Authentifizierung aktiviert wird, andere strenge Richtlinien für den bedingten Zugriff einführt werden oder selbst wenn der Computer komplett neu aufgebaut wird. Solange die Regel in Kraft bleibt, bleibt sie wirksam.

Selbst wenn verdächtige E-Mail-Regeln ein guter Hinweis auf einen Angriff sein können, bietet eine isolierte Betrachtung dieser Regeln gegebenenfalls kein ausreichend starkes Signal dafür, dass ein Konto kompromittiert wurde. Abwehrmaßnahmen müssen mehrere Signale nutzen, um Hintergrundrauschen zu reduzieren und das Sicherheitsteam auf einen wahrscheinlich erfolgreichen E-Mail-Angriff aufmerksam zu machen. Die dynamische und sich weiterentwickelnde Natur von Cyberangriffen, einschließlich der Verwendung ausgeklügelter Taktiken durch Angreifer, erfordert einen vielschichtigen Ansatz zur Erkennung und Verteidigung.

Effektive verteidigung

Da die Erstellung von Posteingangsregeln eine Technik ist, die erst nach der Kompromittierung zum Einsatz kommt, besteht der wirksamste Schutz in der Vorbeugung, d. h. darin, Angreifer daran zu hindern, das Konto überhaupt zu kompromittieren. Sie benötigen aber auch wirksame Maßnahmen zur Erkennung und Reaktion auf Vorfälle, um gehackte Konten zu identifizieren und die Auswirkungen zu mindern.

Zu diesem Zweck müssen die Posteingänge aller Mitarbeiter vollständig einsehbar sein, um durchgeführten Aktionen, erstellte Regeln, Änderungen oder Zugriffe, Anmeldeverläufe sowie Zeit, Ort und Kontext gesendeter E-Mails und weiteres prüfen zu können. Der KI-basierte Schutz von Barracuda verwendet solche Daten, um ein intelligentes Kontoprofil für jeden Benutzer zu erstellen. Alle Anomalien, wie subtil sie auch sein mögen, werden sofort zur Kenntnis genommen. Darüber hinaus verwendet Barracudas Impersonation Protection mehrere Signale wie Anmeldedaten, E-Mail-Daten und statistische Modelle zusammen mit Regeln, um Kontoübernahmeangriffe zu erkennen.

Schließlich können erweiterte Erkennungs- und Reaktionsmaßnahmen (Extended Detection and Response, XDR), einschließlich Barracudas XDR Cloud Security und 24/7-Überwachung durch ein Security Operations Center (SOC), sicherstellen, dass selbst tief verborgene und verschleierte Aktivitäten entdeckt und neutralisiert werden. 

Dieser Threat Spotlight wurde von Prebh Dev Singh mit Forschungs- und Inhaltsunterstützung von Tilly Travers und Alex Angel verfasst.